Peretas di balik pembobolan raksasa teknologi pendidikan Instructure mengklaim telah mencuri 280 juta catatan yang terkait dengan siswa dan staf dari 8,809 perguruan tinggi, distrik sekolah, dan platform pendidikan online.
Instructure adalah perusahaan teknologi pendidikan berbasis cloud yang terkenal dengan sistem manajemen pembelajaran Canvas, yang digunakan sekolah dan universitas untuk mengelola tugas, tugas, penilaian, dan komunikasi.
Jumat lalu, Instruktur mengungkapkan hal itu menyelidiki serangan siber dan kemudian mengungkapkan bahwa memang demikian mengalami pelanggaran datadi mana nama pengguna, alamat email, dan pesan pribadi terungkap.
Geng pemerasan ShinyHunters mengaku bertanggung jawab atas serangan itu dan mengatakan mereka mencuri 280 juta catatan siswa, guru, dan staf.
Pelaku ancaman kini telah menerbitkan daftar 8.809 distrik sekolah, universitas, dan platform pendidikan yang instance Canvas-nya diduga terkena dampak serangan tersebut, dan berbagi jumlah rekor per institusi dengan BleepingComputer.
Jumlah rekor tiap institusi pendidikan berkisar antara puluhan ribu hingga beberapa juta per institusi.
BleepingComputer tidak menyebutkan nama organisasi tertentu yang terdaftar sebagai pelaku ancaman, karena kami belum memverifikasi secara independen apakah mereka terkena dampak pelanggaran tersebut.
Pelaku ancaman mengklaim datanya dicuri menggunakan fitur ekspor data Canvas, termasuk kueri DAP, laporan penyediaan, dan API pengguna, dan mereka mengambil ratusan gigabyte catatan pengguna, pesan, dan data pendaftaran.
Meskipun Instruktur belum menanggapi email berulang kali mengenai insiden tersebut, beberapa universitas telah mulai mengeluarkan pernyataan tentang potensi dampaknya.
“CU mengetahui adanya pelanggaran data yang melibatkan Instruktur, perusahaan induk Canvas, sistem manajemen pembelajaran kami. Pelanggaran data yang dilaporkan ini merupakan peristiwa nasional yang memengaruhi banyak institusi,” memperingatkan Universitas Colorado Boulder.
“Saat ini, Rutgers belum diberitahu mengenai dampak langsung apa pun terhadap kampus kami. Canvas tetap tersedia dan dapat digunakan oleh dosen, staf, dan mahasiswa Rutgers,” memperingatkan Rutgers.
“Penyelidikan saat ini sedang dilakukan untuk menentukan apa yang sebenarnya terjadi dan sistem mana yang terkena dampaknya. Belum dapat dipastikan apakah data mahasiswa dan staf Universitas Tilburg terkena dampaknya. Pertanyaan lebih lanjut telah diajukan ke pemasok untuk mendapatkan kejelasan lebih lanjut,” memperingatkan Universitas Tilburg.
BleepingComputer telah menghubungi Instruktur lagi dengan pertanyaan tambahan dan akan memperbarui cerita ini jika kami menerima tanggapan.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
